Khai thác Windows và phần mềm gián điệp DevilsEye được liên kết với công ty Candiru của Israel

Helga SmithTháng 7 17, 2021Cập nhật mới nhất: Tháng 3 10, 2022
2 phút đọc

Các chuyên gia từ MicrosoftPhòng thí nghiệm công dân nói về phần mềm gián điệp DevilsEye, được phát triển bởi công ty Candiru của Israel, và sau đó được bán cho chính phủ các nước khác nhau. DevilsEye đã phát hiện ít nhất 100 mục tiêu cấp cao trên hệ thống, trong khi các lỗ hổng 0-day trong trình duyệt và Windows được sử dụng để lây nhiễm chúng.

Các nhà nghiên cứu cho biết công ty Candiru của Israel đứng đằng sau việc phát triển ít nhất hai cách khai thác lỗ hổng zero-day trong Windows, vốn được sử dụng để tấn công và triển khai phần mềm gián điệp DevilsEye chưa được biết đến trước đây.. Phần mềm độc hại này đã ảnh hưởng đến các chính trị gia, người bảo vệ nhân quyền, nhà hoạt động, nhà báo, học giả, đại sứ quán và các nhà bất đồng chính kiến ​​​​trên khắp thế giới.

Được biết, Candiru (Microsoft gọi nó là tên mã Sourgum) được thành lập vào năm 2014. Và mặc dù vị trí tuyển dụng của nó từ lâu đã nói rõ rằng công ty đang tham gia vào các vấn đề an ninh mạng, trước đây họ hầu như không biết gì về hoạt động của Candiru. Hiện nay, nhờ các báo cáo từ Microsoft và Citizen Lab, rõ ràng là các công cụ của công ty đang giúp khách hàng lây nhiễm và chiếm quyền kiểm soát iPhone, Android, Mac, máy tính, và tài khoản đám mây.

Candiru là một công ty bí mật của Israel chuyên bán phần mềm gián điệp cho chính phủ.Phòng thí nghiệm công dân cho biết.

Phần mềm gián điệp này lần đầu tiên được phát hiện bởi các nhà nghiên cứu của Citizen Lab khi họ đang tiến hành kiểm tra pháp y mạng đối với một thiết bị thuộc về một tổ chức giấu tên. “nhà hoạt động chính trị từ Tây Âu.” Bằng cách chia sẻ những phát hiện của họ với Microsoft, các nhà nghiên cứu đã có thể xác định được ít nhất 100 các nạn nhân DevilsEye khác ở các quốc gia như Palestine, Israel, Iran, Liban, Yêmen, Tây ban nha, Vương quốc Anh, Thổ Nhĩ Kỳ, Armenia, và Singapore.

DevilsEye lây lan bằng cách dụ nạn nhân đến các trang web độc hại lưu trữ bộ công cụ khai thác lạm dụng các lỗ hổng trình duyệt khác nhau để cài đặt phần mềm độc hại vào nạn nhân’ thiết bị. Sau đó, trong giai đoạn thứ hai của cuộc tấn công, một khai thác Windows đã được sử dụng để cho phép kẻ tấn công nâng cao đặc quyền của chúng lên cấp quản trị viên.Các chuyên gia của Microsoft viết.

Các nhà nghiên cứu nhấn mạnh rằng chuỗi các cuộc tấn công rất phức tạp và bị khai thác cho đến các lỗ hổng zero-day chưa được biết đến gần đây.: trong trình duyệt Chrome (CVE-2021-21166CVE-2021-30551), trong Internet Explorer (CVE-2021-33742), và hai cái nữa trong Windows (CVE-2021-31979CVE-2021-33771). Hiện nay, các nhà sản xuất đã khắc phục tất cả những vấn đề này.

Ba lỗ hổng đầu tiên đã được đề cập trong một báo cáo gần đây từ Google, cũng liên kết các cuộc tấn công vào các lỗ hổng trong Chrome và IE với một lỗ hổng chưa được đặt tên “công ty giám sát thương mại” Google cho biết lỗi đã được bán cho ít nhất hai nhóm “tin tặc chính phủ” những kẻ đã sử dụng chúng để tấn công các mục tiêu ở Armenia. Hiện Google đã cập nhật báo cáo của mình và cũng liên kết việc khai thác những vấn đề này với Candiru của Israel.

DevilsTongue cho phép người vận chuyển của nó đánh cắp nạn nhân’ tập tin, giải mã và đánh cắp tin nhắn từ Signal trên thiết bị Windows, và đánh cắp cookie cũng như mật khẩu đã lưu từ Chrome, trình duyệt web IE, Firefox, Trình duyệt Safari và Opera.

DevilsTongue cũng có thể sử dụng cookie được lưu trữ trên máy tính của nạn nhân cho các trang web như Facebook, Twitter, Gmail, Yahoo, Thư.ru, Odnoklassniki và Vkontakte để thu thập thông tin bí mật, đọc tin nhắn và trích xuất ảnh. Trên một số trang web được liệt kê, phần mềm gián điệp thậm chí có thể gửi tin nhắn thay mặt nạn nhân cho người khác. Một số công cụ chống spyware có thể ngăn chặn hành vi như vậy, nhưng việc ngăn chặn nó đòi hỏi những nỗ lực bổ sung.

Các nhà phân tích của Citizen Lab cho rằng khả năng hack-for-rent của Candiru vượt xa những gì các chuyên gia Google và Microsoft đã dự đoán. Theo Phòng thí nghiệm công dân, nhiều hơn 750 các miền đã được phát hiện được lưu trữ trên máy chủ Candiru, bao gồm các cụm lớn ở UAE và Ả Rập Saudi, gợi ý rằng hai quốc gia này là một trong những khách hàng lớn nhất của công ty.

Một số tên miền này đã được ngụy trang thành các tổ chức nhân quyền như Tổ chức Ân xá Quốc tế, phong trào Black Lives Matter, và các công ty truyền thông, các chuyên gia hàng đầu kết luận rằng các cuộc tấn công chủ yếu nhằm vào các nhà hoạt động.

Christine Goodwin, Giám đốc an ninh kỹ thuật số của Microsoft, viết rằng các công ty như Candiru đã cung cấp vũ khí mạng cho những kẻ tấn công trong nhiều năm, và chính phủ ở nhiều quốc gia sử dụng các công cụ hack này để chống lại các thành viên xã hội dân sự, không truy tìm tội phạm. Goodwin kêu gọi đấu tranh chống lại những công ty như vậy, sản phẩm của họ được sử dụng tích cực để vi phạm nhân quyền.

Một thế giới trong đó các công ty tư nhân sản xuất và bán vũ khí mạng đang trở nên nguy hiểm hơn đối với người tiêu dùng, doanh nghiệp thuộc mọi quy mô, và thậm chí cả các chính phủ.Goodwin viết.

Bạn cũng có thể đọc ở đây rằng Phần mềm độc hại BIOPASS sử dụng phần mềm phát trực tuyến OBS Studio để ghi lại màn hình nạn nhân và Cách loại bỏ trình tối ưu hóa hệ thống giả mạo Spyware Terminator?

thẻ
Helga SmithTháng 7 17, 2021Cập nhật mới nhất: Tháng 3 10, 2022
2 phút đọc

Helga Smith

Tôi luôn quan tâm đến khoa học máy tính, đặc biệt là bảo mật dữ liệu và chủ đề, được gọi là ngày nay "khoa học dữ liệu", kể từ khi tôi còn ở tuổi thiếu niên. Trước khi vào nhóm Diệt Virus với vai trò Tổng biên tập, Tôi đã làm việc với tư cách là chuyên gia an ninh mạng tại một số công ty, bao gồm một trong những nhà thầu của Amazon. Một trải nghiệm khác: Tôi đã nhận được đang giảng dạy tại các trường đại học Arden và Reading.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trang web này sử dụng akismet để giảm spam. Tìm hiểu cách xử lý dữ liệu bình luận của bạn.

Nút quay lại đầu trang